Chercher un emploi sur LinkedIn pourrait vous coûter l'accès à vos tous comptes

Les tentatives de phishing vont crescendo sur le réseau social, alors que de plus en plus de bots tentent de piéger les internautes en recherche active d’emploi.

Les bots et offres trop belles pour être vraies ne sont pas une nouveauté sur LinkedIn, mais les chercheurs de Malwarebytes tirent la sonnette d’alarme. Les tentatives de phishing émanant de faux recruteurs sont de plus en plus nombreuses, et les dernières observations font état de combines de mieux en mieux ficelées. Si vous recherchez activement un emploi, restez vigilants face aux comptes qui vous promettent monts et merveilles, en particulier s’ils vous démarchent directement et vous laissent penser que c’est votre jour de chance. Après avoir été épinglée par les autorités européennes la semaine dernière, nul doute que la plateforme se serait bien épargnée un esclandre supplémentaire.

De faux recruteurs, mais de vrais arnaqueurs

Une première campagne, menée par des bots, cible actuellement les personnes fraîchement licenciées, ayant diffusé un post LinkedIn comportant le hashtag #opentowork. De fait, Malwarebytes explique avoir remarqué qu’une armée de faux comptes se ruait sur les annonces des chercheurs et chercheuses d’emploi, quelques minutes seulement après leur publication. À chaque fois, le même mode opératoire : les commentaires s’enchaînent et se ressemblent, invitant les potentielles victimes à cliquer sur des liens de demandes de connexion, ou les enjoignant à effectuer une demande d’ajout par elles-mêmes.

Les choses pourraient s’arrêter là si les bots en question n’étaient que de simples faux profils. Or, les administrateurs de ces pages frauduleuses ayant appris des limites rencontrées par de précédentes campagnes de ce type, ils ont cette fois pris soin de créer des comptes utilisant le nom et la photo de vrais membres du réseau social. Objectif : créer un environnement de confiance pour pousser les internautes à correspondre avec les arnaqueurs… et à cliquer sur des liens de phishing.

Malwarebytes rapporte ainsi avoir repéré d’autres faux comptes contacter directement les chercheurs et chercheuses d’emploi via la messagerie privée de la plateforme. Les sollicitations semblent provenir de recruteurs et recruteuses pour de grandes entreprises, et proposent systématiquement aux personnes piégées de cliquer sur un lien pour obtenir davantage de détails concernant des opportunités professionnelles à ne pas manquer. Derrière, une fausse page LinkedIn regroupant une série de documents légitimes en apparence, comme des fiches de poste et des informations complémentaires sur la stratégie de la société.

En cliquant sur les éléments à télécharger, les internautes ciblés accèdent à une page de connexion Google factice où ils saisissent, et donc divulguent sans s’en rendre compte, leurs identifiants de connexion. Problème : la majorité des utilisateurs et utilisatrices utilisent une même adresse mail pour administrer l'ensemble de leurs réseaux sociaux. Et ce qui s’apparente à un simple piratage de compte Google ouvre en réalité la porte à un piratage général.

Un seul mot d'ordre : restez vigilant

Si LinkedIn semble avoir pris des mesures pour contenir ces attaques depuis les premières observations de Malwarebytes, les bots continuent d’opérer activement sur la plateforme. Il est donc vivement conseillé de rester vigilants et de ne pas répondre aux demandes de contact douteuses.

Reste que lorsque l’on recherche du travail, difficile de faire la part des choses et de décliner des offres qui semblent en tout point correspondre à son profil professionnel. Gardez toutefois en tête que la plupart des faux profils sont sujets aux fautes d’orthographe, et qu’ils n’hésitent pas à susciter un sentiment d’urgence chez leurs victimes.

Avant de cliquer sur un lien, contrôlez qu’il renvoie bien vers une page officielle. S’il se cache derrière une URL raccourcie (lien Bitly, par exemple), il est fort probable que vous ayez affaire à une arnaque.

N’oubliez pas non plus d’utiliser des mots de passe forts et uniques pour chaque service sur lequel vous êtes inscrit. Activez l’authentification multifactorielle lorsqu’elle est disponible (MFA ou A2F), en privilégiant les clés d’accès numériques ou physiques. On rappelle que grâce aux techniques de social engineerings de plus en plus évoluées, les pirates parviennent aujourd’hui à pousser les internautes piégés à saisir les codes d’authentification reçus par SMS et par mail. Un bon antivirus intégrant des modules anti-phishing pourrait aussi vous sauver la mise dans les situations les plus convaincantes.